云計算安全 誰(shuí)應該擁有所有權？

　　如今，英國幾乎所有(88%)組織都采用了云計算技術(shù)，這與2012年相比大幅增加，當時(shí)只有一半以上。這不可避免地導致了存儲在云中的客戶(hù)數據量的增加，以支持從在線(xiàn)服務(wù)和網(wǎng)站到銷(xiāo)售和基礎設施的所有內容。保持這些數據安全對于企業(yè)的順利運營(yíng)和客戶(hù)保護至關(guān)重要。

　　然而，許多組織在云平臺中仍在沒(méi)有很好地保護他們的數據。例如在去年，Verizon公司存儲在的AWS公司服務(wù)器中的600萬(wàn)個(gè)客戶(hù)詳細信息對外泄露。這只是企業(yè)遷移業(yè)務(wù)的一個(gè)案例，卻沒(méi)有很好理解如何正確保護其數據。使問(wèn)題進(jìn)一步復雜化的是，企業(yè)通?？缍鄠€(gè)云平臺運行，例如AWS、微軟Azure，Google等，每個(gè)云平臺都有不同的安全流程和協(xié)議。

　　更糟糕的是，許多組織似乎不愿意解決目前的問(wèn)題：三分之一(34%)的人認為組織自己有責任在云中保護他們的數據，而三分之二(62%)的人認為，云計算提供商要對客戶(hù)的數據負責。由于不到一半(46%)的企業(yè)明確定義了保護云中機密或敏感信息的角色和責任，顯然很多企業(yè)都在努力讓自己的數據井然有序。

　　負責云計算安全

　　通用數據保護條例(GDPR )在今年5月25日開(kāi)始實(shí)施，這迫使云安全的所有權牢牢掌握在企業(yè)手中。根據該規定，如果任何無(wú)擔保的歐盟客戶(hù)數據遭到入侵、被盜或放錯位置，無(wú)論是內部存儲在數據中心還是云中，持有該數據的企業(yè)都將被追究責任。

　　沒(méi)有充分措施保護數據的組織在監管機構發(fā)現之后將受到巨額罰款和法律訴訟。此外，超過(guò)三分之二的客戶(hù)(70%)將在違規事件后放棄與其供應商的合作。那么，組織可以做些什么來(lái)避免這種情況呢?

　　需要的是組織的領(lǐng)導力。雖然云計算服務(wù)本身通常是安全的，但安全配置和使用它們的任務(wù)通常由組織的IT 管理人員、開(kāi)發(fā)團隊甚至業(yè)務(wù)經(jīng)理負責。但是，圍繞誰(shuí)應該實(shí)施云計算安全的這個(gè)問(wèn)題比較混亂，將會(huì )讓數據缺乏保護。組織現在必須在他們使用的任何云平臺中完全擁有安全性。

　　必須為企業(yè)董事會(huì )指定一名負責人(例如首席信息安全官)，需要向企業(yè)其他高層管理人員闡述數據安全的重要性，并在發(fā)生違規時(shí)對數據安全負責。這可以確保企業(yè)獲得董事會(huì )的支持，廣泛推廣云計算安全策略，并教育員工具有良好的網(wǎng)絡(luò )安全措施和習慣，從而最大限度地降低內部風(fēng)險。

　　一旦這位負責人被任命為企業(yè)董事會(huì )成員，就必須著(zhù)手確保云平臺受到保護。以下是幫助解決這個(gè)問(wèn)題的六個(gè)步驟：

　　云計算安全的6個(gè)步驟

　　(1)了解自己的數據

　　在實(shí)施任何網(wǎng)絡(luò )安全策略之前，企業(yè)必須首先對自己的數據進(jìn)行審計。這有助于他們了解所收集或生成的數據，以及最敏感和最有價(jià)值的數據所處的位置。如果企業(yè)不知道他們擁有和生產(chǎn)什么數據，他們甚至無(wú)法開(kāi)始保護它。在歐盟實(shí)施的通用數據保護條例(GDPR )監管下，如果發(fā)現的任何數據未使用，企業(yè)還必須確保安全地刪除。

　　(2)必須保護所有敏感數據

　　雖然企業(yè)限制誰(shuí)可以訪(fǎng)問(wèn)敏感數據至關(guān)重要，但是廣泛使用的技術(shù)(如加密技術(shù))將確保在未經(jīng)授權的人員訪(fǎng)問(wèn)時(shí)不能使用這種技術(shù)。

　　因此，在這個(gè)步驟發(fā)生之前，企業(yè)必須了解其最有價(jià)值數據的存儲位置。也許在他們自己的服務(wù)器上、在公共云中，或在混合環(huán)境中，但無(wú)論數據在何處，都必須始終使用加密等協(xié)議來(lái)保護數據。

　　(3)安全存儲密鑰

　　加密數據時(shí)，會(huì )創(chuàng )建加密密鑰。這些密鑰是解鎖和訪(fǎng)問(wèn)加密數據所必需的。因此，企業(yè)必須確保安全地存儲這些密鑰。

　　通過(guò)異地存儲物理密鑰，有助于確保它不能鏈接到云中的任何加密數據。加密僅與所采用的密鑰管理策略一樣好，并且企業(yè)必須將密鑰保存在安全位置，例如遠離數據本身的外部系統，以防止它們被竊取。

　　(4)引入雙因素身份驗證

　　接下來(lái)，企業(yè)應采用強大的雙因素身份驗證，以確保只有授權員工才能訪(fǎng)問(wèn)他們需要使用的數據。

　　雙因素身份驗證涉及個(gè)人采用他們擁有的東西保護自己的賬戶(hù)，例如智能手機上的消息。以及他們知道的東西，比如密碼。這比單獨依賴(lài)密碼更安全，因為密碼很容易被黑客竊取。

　　(5)始終安裝最新的補丁

　　隨著(zhù)漏洞和缺陷的出現，硬件和軟件不斷被其供應商修補，以防止黑客利用它們。許多企業(yè)不能足夠快地安裝補丁或使用不再接收常規補丁的軟件。Net Marketshare公司的數據顯示，盡管已停止使用補丁，但20個(gè)組織中仍有一個(gè)組織在使用Windows XP。企業(yè)必須在可用時(shí)安裝補丁，以避免成為黑客輕松攻擊的目標。

　　(6)評估并重復

　　一旦企業(yè)實(shí)施了上述步驟，就必須對進(jìn)入其系統的所有新數據重復每個(gè)步驟，這至關(guān)重要。網(wǎng)絡(luò )安全和通用數據保護條例(GDPR )合規是一個(gè)持續的過(guò)程。這些步驟最終將有助于使企業(yè)的數據對于攻擊者不具有吸引力或不可行，即使在發(fā)生違規行為時(shí)，他們也無(wú)法使用、竊取或保留他們的數據以獲取贖金。

　　由于任何數據泄露事件會(huì )帶來(lái)巨大的是影響和損失，因此聲譽(yù)和財務(wù)成為目前企業(yè)開(kāi)展業(yè)務(wù)的重中之重，對企業(yè)來(lái)說(shuō)，對數據擁有完全的所有權從未如此重要。

　　由于歐盟已經(jīng)頒布實(shí)施通用數據保護條例(GDPR)，消費者擁有比以往更多的數據權利，組織的管理人員必須提供網(wǎng)絡(luò )安全策略，并教育員工應對所面臨的網(wǎng)絡(luò )風(fēng)險。